RATATOSKRATATOSK
로그인

릴리즈

CNCF graduated·incubating 프로젝트 릴리즈 노트의 AI 분석.

2026년 4월해제 ×

Flatcar Container Linux

Provisioning & Runtime2026년 4월 27일

LTS 채널의 대규모 보안 유지보수 릴리스입니다. 커널이 6.6.107에서 6.6.127로 올라가며 지난 LTS 포인트 릴리스 이후 누적된 CVE 수백 건을 해소했고, ca-certificates 업데이트와 arm64 Mac용 로컬 개발 환경 수정도 포함되어 있습니다.

  • security커널 업데이트를 서둘러 적용하세요 — 대규모 CVE 백로그 해소

    커널이 6.6.107에서 6.6.127까지 약 20개 포인트 릴리스를 건너뛰며 누적된 수백 건의 CVE를 한 번에 해결했습니다. 4081.3.6 이하 버전을 운영 중이라면 그동안 패치되지 않은 커널 취약점을 안고 있었던 셈이고, 그중에는 네트워킹·파일시스템·메모리 관리 등 컨테이너 워크로드에서 자주 노출되는 서브시스템 관련 취약점도 포함되어 있습니다. 일반적인 마이너 업데이트가 아니라 우선순위 높은 패치로 취급하고 업데이트 링이 허용하는 대로 빠르게 배포하세요.

  • enhancementca-certificates 3.116→3.122 반영 후 TLS 신뢰 체인 점검 필요

    ca-certificates가 3.116에서 3.122로 여러 NSS 릴리스를 건너뛰며 올라갔습니다. OS 이미지와 별도로 CA 번들을 고정하거나 자체 관리하고 있다면 이 구간에서 제거되거나 신뢰 철회된 루트 인증서가 있는지 확인하세요. 내부 서비스나 오래된 엔드포인트의 TLS 검증이 깨질 수 있습니다.

  • enhancementApple Silicon 로컬 VM 테스트 속도 개선

    QEMU 런처 스크립트가 arm64 기반 Mac에서 HVF 가속을 사용하도록 수정되었습니다(Flatcar#1901). Apple Silicon에서 Flatcar 이미지를 로컬로 빌드하거나 테스트한다면 관련 스크립트나 툴링을 업데이트하세요. VM 부팅과 테스트 사이클이 눈에 띄게 빨라집니다.

주요 변경 (5)
  • 리눅스 커널이 6.6.107에서 6.6.127로 업데이트되었고 그 사이 약 20개의 안정화 릴리스가 포함됨
  • 이번 릴리스 한 번에 2023~2026년 사이 공개된 CVE 수백 건이 패치됨
  • ca-certificates가 3.116에서 3.122로 업데이트됨(다수의 NSS 릴리스 포함)
  • QEMU 런처 스크립트 수정으로 arm64 Mac에서 HVF 가속 지원, 로컬 VM 성능 개선
  • 신규 기능이나 호환성을 깨는 변경은 없고 유지보수·보안 위주 릴리스임
원문

Flatcar Container Linux

Provisioning & Runtime2026년 4월 27일

Flatcar stable-4593.2.0은 대규모 보안 패치와 인프라 변경이 함께 포함된 릴리스입니다. 150개 이상의 커널 CVE 수정, openssh/openssl/curl/intel-microcode 업데이트, initrd 및 파티션 레이아웃 변경이 있어 업그레이드 전 검토가 필요합니다.

  • security커널 및 유저스페이스 전반에 걸친 대규모 CVE 수정 — 즉시 업데이트 필요

    Linux 커널에서만 150개 이상의 CVE가 패치됐고, openssh 10.2_p1, openssl 3.5.4, curl 8.16.0, intel-microcode, gnupg, pam 등 유저스페이스 컴포넌트들도 각각 CVE 수정을 포함합니다. Stable 4459.2.4 이후 누적된 보안 패치가 한꺼번에 들어온 릴리스입니다. 자동 업데이트를 일시 중지해둔 노드가 있다면 실제로 업데이트가 진행되고 있는지 확인하세요.

  • breakingsshd가 OpenSSH 업스트림 기본값으로 변경 — 포스트-퀀텀 키 교환 기본 활성화

    sshd_config에서 Ciphers, MACs, KexAlgorithms 고정값이 제거되고 OpenSSH 업스트림 기본값으로 바뀝니다. 포스트-퀀텀 키 교환 알고리즘이 기본 활성화됩니다. 레거시 알고리즘이 필요한 환경(컴플라이언스 도구, 구형 SSH 클라이언트 등)은 업그레이드 전에 /etc/ssh/sshd_config.d/ 아래에 drop-in 설정 파일을 배포하세요. 비프로덕션 노드에서 먼저 SSH 연결을 검증하는 것을 권장합니다.

  • breaking파티션 레이아웃 변경 및 1단계 initrd의 커널 모듈 축소

    파티션 크기가 커졌습니다: /boot 1GB, /usr 2GB, /oem 1GB. 기존 노드는 계속 업데이트 가능하지만, 새 디스크 이미지는 더 큰 레이아웃을 씁니다. 디스크 용량이 빠듯한 환경이라면 사전에 확인하세요. 또한 커널+initrd가 2단계로 나뉘면서 /boot 크기가 절반으로 줄었는데, 1단계 initrd에서 필요한 커널 모듈이 빠져 있으면 부팅 문제가 생길 수 있습니다. 문제 발생 시 Flatcar 팀에 즉시 보고하세요.

주요 변경 (6)
  • Linux 커널 6.12.81로 업데이트, 커널 자체에서만 150개 이상의 CVE 패치
  • openssh 10.2_p1 업데이트 — sshd가 업스트림 기본값 사용, 포스트-퀀텀 키 교환 기본 활성화, 레거시 cipher 설정 제거
  • intel-microcode 업데이트로 Intel 하드웨어의 사이드채널 및 정보 누출 관련 CVE 14건 수정
  • 2단계 initrd 도입: 1단계는 최소 구성(/boot 크기 절반 감소), 커스텀 커널 모듈 빌드 방식이 Ubuntu 방식에서 업스트림 표준 방식으로 변경
  • 파티션 크기(/boot, /usr, /oem) 증가; 이전 initrd 재작업으로 깨졌던 Ignition OEM 설정 로딩 및 PXE OEM 커스터마이징 수정
  • SSSD/LDAP 인증 복구 — 이전 Samba 업데이트 이후 누락됐던 PAM sssd 지원 및 LDB 모듈 복원
원문
월별 보기